Перейти к содержанию
Правила раздела
Конкурс по разработке Telegram-бота Kaspersky Club

Проблема MEM:Trojan-Spy.Win32.Agent.gen

Дрон

Автор Дрон
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

  • Ответов 37
  • Создана
  • Последний ответ

Топ авторов темы

  • Дрон

    20

  • regist

    11

  • Sandor

    7

Популярные дни

Топ авторов темы

Популярные дни

Изображения в теме

Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Через Панель управления - Удаление программ - удалите нежелательное ПО:

amuleC

MediaGet

Unity Web Player

Менеджер браузеров

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\PROGRA~2\xp5EA1\wx0EC1.bat', '');
 QuarantineFile('C:\Program Files (x86)\Kinoroom Browser\krbrowser.exe', '');
 QuarantineFile('C:\ProgramData\KRB Updater Utility\krbupdater.exe', '');
 QuarantineFile('C:\ProgramData\Microsoft\Macromed\Flash Player\0DB4635F-EB22-462B-859A-06224B38F844\7675A586-EBED-4B18-B106-C2BC0C3276ED.exe', '');
 QuarantineFile('C:\ProgramData\service.exe', '');
 QuarantineFile('C:\Users\Андрей\AppData\Local\fupdate\fupdate.exe', '');
 QuarantineFile('C:\Users\Андрей\AppData\Local\svshost\svshost.exe', '');
 QuarantineFileF('c:\program files (x86)\kinoroom browser', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0);
 QuarantineFileF('c:\programdata\krb updater utility', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0);
 QuarantineFileF('c:\programdata\microsoft\macromed\flash player\0db4635f-eb22-462b-859a-06224b38f844', '*', true, '', 0 , 0);
 ExecuteFile('schtasks.exe', '/delete /TN "fupdate" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\KRBUUS\KRB Updater Utility Service" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\KRBUUS\KRBLNKRUN" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\A0DB4635F-EB22-462B-859A-06224B38F844" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "svshost" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "UnregisterNonABICompliantCodeRange" /F', 0, 15000, true);
 DeleteFile('C:\PROGRA~2\xp5EA1\wx0EC1.bat', '32');
 DeleteFile('C:\Program Files (x86)\Kinoroom Browser\krbrowser.exe', '32');
 DeleteFile('C:\ProgramData\KRB Updater Utility\krbupdater.exe', '32');
 DeleteFile('C:\ProgramData\Microsoft\Macromed\Flash Player\0DB4635F-EB22-462B-859A-06224B38F844\7675A586-EBED-4B18-B106-C2BC0C3276ED.exe', '32');
 DeleteFile('C:\ProgramData\service.exe', '32');
 DeleteFile('C:\Users\Андрей\AppData\Local\fupdate\fupdate.exe', '32');
 DeleteFile('C:\Users\Андрей\AppData\Local\svshost\svshost.exe', '32');
 DeleteFile('C:\Users\Андрей\Favorites\Links\Интернет.url');
 DeleteFileMask('c:\program files (x86)\kinoroom browser', '*', true);
 DeleteFileMask('c:\programdata\krb updater utility', '*', true);
 DeleteDirectory('c:\program files (x86)\kinoroom browser');
 DeleteDirectory('c:\programdata\krb updater utility');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Eventlog\Application\GoogleChromeUpService', 'EventMessageFile');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteRepair(3);
 ExecuteRepair(4);
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.
Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Прикрепите к следующему сообщению свежий CollectionLog.

Ссылка на комментарий
Поделиться на другие сайты
Дрон Постоялец

Дрон

Опубликовано
  • Автор
Опубликовано

Thank you for contacting Kaspersky Lab

The files have been scanned in automatic mode.

No information about the specified files can be found in the antivirus databases:
wx0EC1.bat

We will thoroughly analyze the files you sent. If the result of the analysis is different from this automatic scan result, you will be notified via email.

This is an automatically generated message. Please do not reply to it.

Anti-Virus Lab, Kaspersky Lab HQ

KLAN-7674924173

Новые логи

CollectionLog-2018.02.22-15.17.zip

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано
  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[sx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве.
Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

1.

  • Запустите повторно AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
  • Нажмите кнопку "Scan" ("Сканировать").
  • По окончании сканирования в меню Инструменты - Настройки отметьте дополнительно в разделе Сбросить:
    • Прокси
    • Политики IE
    • Политики Chrome

      и нажмите Ok.

  • Нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

 

2.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
SearchScopes: HKU\S-1-5-21-175287101-2010068363-3461815925-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mylucky123.com/search/?type=ds&ts=1476787665&z=f941fd0a2ab6fee504841b3gfzdm6q1m0b0m1qdqdo&from=amule1017&uid=WDCXWD10JPVX-22JC3T0_WD-WX61AB5749YL749YL&q={searchTerms}
SearchScopes: HKU\S-1-5-21-175287101-2010068363-3461815925-1001 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={SearchTerms}&product_id=%7B1F51EB10-C77F-4E04-A261-431534F1225D%7D&gp=811014
Edge HomeButtonPage: HKU\S-1-5-21-175287101-2010068363-3461815925-1001 -> hxxp://www.mylucky123.com/?type=hp&ts=1476179780&z=dc243f816e70d89d810beefgbzdmfq8gcm3t3mdm5g&from=che0812&uid=WDCXWD10JPVX-22JC3T0_WD-WX61AB5749YL749YL
FF Extension: (VK+OK AdBlock) - C:\Program Files (x86)\Mozilla Firefox\browser\features\{FF20459C-DA6E-41A7-80BC-8F4FEFD9C575} [2016-11-19] [Legacy] [not signed]
C:\Users\Андрей\AppData\Roaming\Opera Software\Opera Stable\Extensions\ihbiedpeaicgipncdnnkikeehnjiddck
C:\Users\Андрей\AppData\Roaming\Opera Software\Opera Stable\Extensions\johjcheghocokbkhacbfbhojoangkpcb
ShellIconOverlayIdentifiers: [KzShlobj] -> {AAA0C5B8-933F-4200-93AD-B143D7FFF9F2} =>  -> No File
ContextMenuHandlers1: [KuaiZipShlExt] -> {6ADF19E3-77A3-4395-ADB4-9FD7D351EB3E} =>  -> No File
ContextMenuHandlers1: [ContextMenuExt] -> {6ADF19E3-77A3-4395-ADB4-9FD7D351EB3E} =>  -> No File
Task: {4AEEDD6B-5687-4B27-8B6E-23E3FF62A1C9} - System32\Tasks\Microsoft\188D349961AE55BD7C2FB46A6C2CF429 => C:\Users\Андрей\AppData\Local\Microsoft\0C4A7AD2E8A24C57E5156D8BBEE7DA09\2CF429C6A64BF2C7DB55EA1699188D34.exe
Task: {4D33284D-805E-45B1-934B-BBE4E8A36BAC} - System32\Tasks\Microsoft\Windows\188D349961AE55BD7C2FB46A6C2CF429 => C:\Users\Андрей\AppData\Local\Microsoft\0C4A7AD2E8A24C57E5156D8BBEE7DA09\2CF429C6A64BF2C7DB55EA1699188D34.exe
Task: {547D0EB7-99D8-4580-A380-914316857355} - System32\Tasks\86Y5012J8186s805 => C:\WINDOWS\system32\rundll32.exe "C:\ProgramData\86Y5012J8186s805\86Y5012J8186s805.dll",YJsAclNDc <==== ATTENTION
Task: {70C2CE65-0AA5-4051-9C8B-6F8D9474C7AE} - System32\Tasks\Microsoft\Windows\188D349961AE55BD7C2FB46A6C2CF429SB => C:\Users\Андрей\AppData\Local\Microsoft\0C4A7AD2E8A24C57E5156D8BBEE7DA09\2CF429C6A64BF2C7DB55EA1699188D34.exe
AlternateDataStreams: C:\ProgramData\Reprise:wupeogjxldtlfudivq`qsp`27hfm [0]
Online.io Application (HKLM-x32\...\{F0847AE0-465A-4D7B-A555-AABB43B550F0}) (Version: 2.1.0 - Microleaves) Hidden <==== ATTENTION
EmptyTemp:
Reboot:
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

 

 

В перечне установленных программ появится

Online.io Application

Если не самостоятельно устанавливали, удалите.

Ссылка на комментарий
Поделиться на другие сайты
regist Корифей

regist

Опубликовано
Опубликовано

1) TektonIT RMS - сами ставили?

2) "Пофиксите" в HijackThis:

O21 - HKLM\..\ShellIconOverlayIdentifiers: KzShlobj - {AAA0C5B8-933F-4200-93AD-B143D7FFF9F2} - (no file)
O22 - Task: Anofotion Collector - C:\Program Files (x86)\Gronuchcoaregh\bemition.exe 9e42fd65-140a-43eb-b4cd-52bffcdf0d7e (file missing)
O22 - Task: Traffic Exchange v2 - 1 - C:\Program Files (x86)\Microleaves\Traffic Exchange\OnlineGuardian-v2.exe 1 36 (file missing)
O22 - Task: Traffic Exchange v2 - 2 - C:\Program Files (x86)\Microleaves\Traffic Exchange\OnlineGuardian-v2.exe 1 37 (file missing)
O22 - Task: Traffic Exchange v2 - 3 - C:\Program Files (x86)\Microleaves\Traffic Exchange\OnlineGuardian-v2.exe 1 38 (file missing)
O22 - Task: Traffic Exchange v209 - 1 - C:\Program Files (x86)\Microleaves\Traffic Exchange\Online-Guardian-v2.0.9.exe 1 60 (file missing)
O22 - Task: Traffic Exchange v209 - 2 - C:\Program Files (x86)\Microleaves\Traffic Exchange\Online-Guardian-v2.0.9.exe 1 61 (file missing)
O22 - Task: Traffic Exchange v209 - 3 - C:\Program Files (x86)\Microleaves\Traffic Exchange\Online-Guardian-v2.0.9.exe 1 62 (file missing)
O22 - Task: \Microsoft\188D349961AE55BD7C2FB46A6C2CF429SB - C:\Users\Андрей\AppData\Local\Microsoft\0C4A7AD2E8A24C57E5156D8BBEE7DA09\2CF429C6A64BF2C7DB55EA1699188D34.exe /S --safebrowser (file missing)
O22 - Task: \Microsoft\Windows\SMB\UninstallSMB1ClientTask - C:\WINDOWS\system32\WindowsPowerShell\v1.0\powershell.exe -ExecutionPolicy Unrestricted -NonInteractive -NoProfile -WindowStyle Hidden "& C:\WINDOWS\system32\WindowsPowerShell\v1.0\Modules\SmbShare\DisableUnusedSmb1.ps1 -Scenario Client"
O22 - Task: \Microsoft\Windows\SMB\UninstallSMB1ServerTask - C:\WINDOWS\system32\WindowsPowerShell\v1.0\powershell.exe -ExecutionPolicy Unrestricted -NonInteractive -NoProfile -WindowStyle Hidden "& C:\WINDOWS\system32\WindowsPowerShell\v1.0\Modules\SmbShare\DisableUnusedSmb1.ps1 -Scenario Server"

3)
  • Пожалуйста, запустите adwcleaner.exe
  • Нажмите File (Файл) Uninstall (Деинсталлировать).
  • Подтвердите удаление нажав кнопку: Да.



4) Скачайте Malwarebytes' Anti-Malware. Установите.
На вкладке "Параметры" - "Личный кабинет" ("Settings" - "My Account") нажмите кнопку "Деактивировать ознакомительную Premium-версию".
На вкладке "Проверка" - "Полная проверка" нажмите кнопку "Начать проверку". Дождитесь окончания проверки.
Самостоятельно ничего не удаляйте!!!
Нажмите кнопку "Сохранить результат - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan".
Отчёт прикрепите к сообщению.

 

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Seiku2812
      проблемы с пк
      Автор Seiku2812
      началось все с того что я скачал новые драйвера от нвидиа очень сильно снизилась производительность и я откатил на старые , на следующий день была опять проблема с производительностью как будто видеокарта не хочет работать на 100 процентов , в той же доте в лобби всегда было 240 стабильно сейчас 180(в игре падает фпс с 180 до 80) перепробовал много каких способов ничего не помогает , помогите решить проблему 
    • Couita
      Проблема с записью проблемы.
      Автор Couita
      Здравствуйте!
      Файл troubleshoot.exe из папки Касперского ничего не делает, при попытке запустить (через Касперского и вручную) ни к чему не приводит. Окно UAC появляется о том что пытаюсь открыть, нажимаю что согласен, и ничего далее.

    • warnix
      Проблема с пк
      Автор warnix
      здравствуйте, недавно столкнулся с такой проблемой,что при открытии программ вылезает ошибка(я прикрепил фото)
      есть подозрение что это вирус или просто ошибка виндовс
      пробовал запускать разные антивирусы(Kaspersky, dr web cureit) они также не запускаются, абсолютно никакие программы не запускаются, кроме нескольких игр и системных приложений, в диспетчере задач есть много подозрительных процессов, в автозагрузке есть файл steam у которого отсутствует издатель, а открыть расположение файла не получается, хочу попробовать решить эту проблему без переустановки виндовс, на это есть причины

    • Red13107
      проблема с расшифровкой файлов
      Автор Red13107
      Здраствуйте, не получается расшифровать 23 файла с помощью shadedecryptor. пишет ошибка и не может подобрать ключ.
      Addition.txt FRST.txt README1.txt Новая папка.rar
    • жаждущий ответа
      Проблемы с загрузкой виндовс
      Автор жаждущий ответа
      Здравствуйте,возникла проблема с виндовс 10, система начала дольше грузиться, яндекс и вовсе сразу  в панели не отображается, проверил через касперски пишет,что trojan win32 sepeh gen,вылечить не получается,после перрезагрузки он появляется снова,и также не открывается редакто реестра,что делать не знаю
       
      Сообщение от модератора kmscom Тема перемещена из раздела Интервью с экспертами Лаборатории Касперского
×
×
  • Создать...